none
Из группы репликации sysvol пропал один контроллер RRS feed

  • Вопрос

  • Всем доброго времени суток.

    Контроллеры домена под управлением Windows Server 2012 DataCenter (со всеми обновлениями) 

    Во время очередного мониторинга состояния инфраструктуры была замечена одна неприятная проблема, а точнее, она была замечена при внесении изменений в GPO, часть серверов ее подхватили, а часть нет. Я сразу решил что проблема в репликации sysvol из-за какого-то сбоя питания и еще что-то, это очень частая проблема, мы наблюдали ее многократно.

    Первым делом в оснастке групповой политики были обнаружены сервера, и обнаружение подтвердило, что репликация не синхронизирована

    Дальше были проверены все права на папку sysvol, ее наличие принципе, доступность и т.д. Все это было в порядке.

    Следующее что было проделано, это Non-authoritative SYSVOL restore. Проходя по описанным шагам данной операции на основном контроллере домена, я не смогу найти ветку "CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<each other server name>,OU=Domain Controllers,DC=<domain>

    После этого, я открыл консоль управления DFS, и каково было мое удивление, в группе репликации "SYSVOL" отсутствовал основной контроллер домена. Я по всякому пытался добавить эту ветку вручную, не вышло. Статья http://support.microsoft.com/ru-ru/kb/312862 в разделе "Восстановление удаленных объектов члена FRS" показывает как это сделать, но объектов "nTFRSMember" видимо нет в Windows Server 2012.

    dcdiag /q так же сообщил мне что отсутствует ожидаемое значение serverReferenceBL, но все поиске в интернете приводят к решению этой проблемы где угодно, кроме 2012 сервера. На проблемной контроллере домена, изменить атрибут serverReferenceBL нельзя, он только для чтения.

    Я уже все перепробовал, ничего не выходит. Я даже передавал все роли FSMO на второй контроллер, после чего первый понижал, удалял все роли DC, после чего заново повышал до контроллера домена, но он все равно почему-то не появился в группе репликации.

    Есть у кого идеи как с этим быть? Или ткните хотя бы пальцем в гугл, сидел до 7 утра, ничего не нашел :(

    5 апреля 2015 г. 12:07

Ответы

  • Если повышение с понижением не помогает, то после понижения есть вариант вывести DC1 из домена и удалить все следы от него - как учетную запись в разделе домена, так и объект сервера из раздела конфигурации (Sites/имя_сайта в AD Sites and Services), ну и созданный вручную объект DC1 в DFSR-GlobalSettings тоже надо удалить. Естсественно, такое вариант возможен, только если на DC1 не стоит никаких ролей или приложений, достаточно тесно связанных с AD.

    Слава России!

    6 апреля 2015 г. 12:22

Все ответы

  • 1.Статья 31286 MS KB относится к репликации с помощью FRS, к Windows Server 2012 она применима только в случае, если домен работает на функциональном уровне Windows Server 2003. В противном случае для репликации SYSVOL используется служба DFS Replication (DFSR). Так что вы там определитесь, какая именно служба репликации у вас используется.

    2. Атрибут ServerReferenceBL - он, в принципе, только для чтения: это - атрибут обратной ссылки, онв базе данных не хранится, а вычисляется на основе атрибута прямой ссылки (serverReference) того объекта, который должен ссылаться на указанный вами. Редактировать надо именно прямую ссылку.

    3. Чтобы вам помочь без посредника-телепата, нужно видеть, что у вас там происходит. Для этого нужно видеть текущую конфигурацию DFSR (или FRS) (команды, чтобы посмотреть, сейчас наизусть не помню, до дома доберусь - напишу) и какие ошибки фиксируются на проблемом КД в журнале соответствующей службы репликации.

     

    Слава России!


    • Изменено M.V.V. _ 5 апреля 2015 г. 13:21
    5 апреля 2015 г. 13:19
  • Спасибо за ответ. Я еще не спал, вот мозг и закипает уже. Конечно же репликация идет через DFSR. Просто в некоторых статьях по исправлению атрибута ServerReferenceBL фактически говорится так - нажмите изменить, вставьте значение с живого контроллера. Сам я там подробно не изучал эти процессы, по этому и возникли сложности. 

    С нетерпением буду ждать от Вас перечень команд для диагностики, ну и из того что мне доступно могу сказать следующее:

    Немного описания

    DC1 - основной контроллер домена с ролями FSMO. Именно он вылетел из группы репликации

    DC2 - второй контроллер домена, с живой группой репликации

    Оба контроллера Windows Server 2012

    На DC1 команда dcdiag /q выводит только сообщение о проблеме с ожидаемым значением ServerReferenceBL 

    Стандартный журнал событий не регистрирует никаких ошибок. Было предупреждение NETLOGON 5781, его я исправил. В DNS почему-то пропал сервер пересылки DC2.

    На DC2 команда dcdiag /q говорит только что не пройдена проверка DFSREvent, так как в журнале событий зарегистрированы ошибки

    Журнал событий гласит что есть назойливое предупреждение 2213 о том, что репликация была остановлена из-за сбоя. Предупреждение я исправил командой из самого события WMIC/ и т.д. Журнал был очищен, служба репликации перезапущена, сейчас регистрируется только одно предупреждение 6804 о том, что нет настроенных подключений для групп репликации

    DNS сервер регистрировал ошибку 4015. Ошибка была часов в 5 утра, когда я там ковырялся. Ошибка ушла, когда на DC1 в сервера пересылки был добавлен DC2. Служба "Доменные службы AD" была перезапущена, ошибок в журнале нет. DNS сервер регистрирует предупреждение 4013 ожидание от АД информации о завершении первичной синхронизации  

    5 апреля 2015 г. 14:53
  • А миграция с NTFSR на DFSR прошла успешно на всех контроллерах? Или у Вас относительно новый домен и сразу была DFS репликация.

    Покажите вывод:

    dfsrmig /getglobalstate

     dfsrmig /getmigrationstate
    5 апреля 2015 г. 16:20
  • Для диагностики покажите конфигурацию DFSR в AD с проблемного сервера:

    dfsrdiag dumpadcfg

    (если команды dfsrdiag на сервере нет, установите DFS Management Tools (Install-WindowsFeature RSAT-DFS-Mgmt-Con из окна Powershell или через Server Manager).


    Слава России!

    5 апреля 2015 г. 22:19
  • К сожалению с системой NTFSR я не знаком, да и быстро нагуглить не смог. У нас относительно новые сервера, сразу ставился 2012 сервер, так что я полагаю что сразу был DFSR.

    Вот вывод команд

    PS C:\Windows\system32> dfsrmig /getglobalstate

    Текущее глобальное состояние DFSR: "Удалено"
    Успешно.
    PS C:\Windows\system32> dfsrmig /getmigrationstate

    Следующие контроллеры домена не достигли глобального состояния ("Удалено"):

    Контроллер домена (состояние локальной миграции) - Тип DC
    ===================================================

    DC1 ("Пуск") - Primary DC

    Состояние миграции согласовано еще не на всех контроллерах домена.
    Из-за задержки в доменных службах Active Directory сведения о состоянии могут быть неактуальными.

    Эти команды я уже смотрел, не нахожу не каких объяснений, почему основной контроллер в каком-то процессе миграции, и что значит "Удалено". Мы ничего не мигрировали, только плановые обновления. 

    6 апреля 2015 г. 7:10
  • Вывод команды на DC1

    PS C:\Windows\system32> dfsrdiag dumpadcfg
    LDAP Bind   : DC1.company.com
    SitesDn     : cn=sites,cn=configuration,dc=company,dc=com
    ServicesDn  : cn=services,cn=configuration,dc=company,dc=com
    SystemDn    : cn=system,DC=company,DC=com
    DefaultNcDn : DC=company,DC=com
    ComputersDn : cn=computers,DC=company,DC=com
    DomainCtlDn : ou=domain controllers,DC=company,DC=com
    SchemaDn    : CN=Schema,CN=Configuration,DC=company,DC=com
    
    COMPUTER: DC1
      DN            : cn=dc1,ou=domain controllers,dc=company,dc=com
      GUID          : 2E20CC1C-BFAC-4F57-98CA-DEA46F022AAB
      DNS           : dc1.company.com
      Server BL     : cn=dc1,cn=servers,cn=default-first-site-name,cn=sites,cn=configuration,dc=company,dc=com
      Server Ref    : (null)
      USN Changed   : 10547712
      When Created  : 14 марта 2013 г. 5:59:34
      When Changed  : 30 марта 2015 г. 23:06:39
    
    Операция выполнена успешно

    Вывод команды на DC2

    PS C:\Windows\system32> dcdiag /q
             За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения  об
             ошибках.  Сбои при репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... DC2 - не пройдена проверка DFSREvent
    PS C:\Windows\system32> dcdiag /q
    PS C:\Windows\system32> dcdiag /q
    PS C:\Windows\system32> dfsrdiag dumpadcfg
    LDAP Bind   : DC2.company.com
    SitesDn     : cn=sites,cn=configuration,dc=company,dc=com
    ServicesDn  : cn=services,cn=configuration,dc=company,dc=com
    SystemDn    : cn=system,DC=company,DC=com
    DefaultNcDn : DC=company,DC=com
    ComputersDn : cn=computers,DC=company,DC=com
    DomainCtlDn : ou=domain controllers,DC=company,DC=com
    SchemaDn    : CN=Schema,CN=Configuration,DC=company,DC=com
    
    COMPUTER: DC2
      DN            : cn=dc2,ou=domain controllers,dc=company,dc=com
      GUID          : C5703B5C-AC66-4880-880D-9135E4C48AD3
      DNS           : dc2.company.com
      Server BL     : cn=dc2,cn=servers,cn=default-first-site-name,cn=sites,cn=configuration,dc=company,dc=com
      Server Ref    : (null)
      USN Changed   : 10686585
      When Created  : 14 марта 2013 г. 19:55:40
      When Changed  : 29 марта 2015 г. 18:18:46
    
      LOCAL SETTINGS: DFSR-LOCALSETTINGS
        DN            : cn=dfsr-localsettings,cn=dc2,ou=domain controllers,dc=company,dc=com
        GUID          : 0F544AD9-E2B1-46CE-AF96-5783FCF2B80A
        Version       : 1.0.0.0
        USN Changed   : 12439
        When Created  : 14 марта 2013 г. 20:07:40
        When Changed  : 14 марта 2013 г. 20:12:42
    
        SUBSCRIBER: DOMAIN SYSTEM VOLUME
          DN            : cn=domain system volume,cn=dfsr-localsettings,cn=dc2,ou=domain controllers,dc=company,dc=com
          GUID          : 7CD1373B-59B7-4D28-AE51-7C49E18FE070
          Member Ref    : cn=dc2,cn=topology,cn=domain system volume,cn=dfsr-globalsettings,cn=system,dc=company,dc=com
          USN Changed   : 12353
          When Created  : 14 марта 2013 г. 20:07:40
          When Changed  : 14 марта 2013 г. 20:07:40
    
          SUBSCRIPTION: SYSVOL SUBSCRIPTION
            DN            : cn=sysvol subscription,cn=domain system volume,cn=dfsr-localsettings,cn=dc2,ou=domain controller
    s,dc=company,dc=com
            GUID          : A8EAA3A9-96E8-4FB0-BAD7-5522E4AB1DB2
            ContentSetGuid: 1778EEC0-A5DB-453C-80BC-A755DB7CF582
            Root Path     : c:\windows\sysvol\domain
            Root Size     : (null) (MB)
            Staging Path  : c:\windows\sysvol\staging areas\company.com
            Staging Size  : (null) (MB)
            Conflict Path : (null)
            Conflict Size : (null) (MB)
            USN Changed   : 5782107
            When Created  : 14 марта 2013 г. 20:07:40
            When Changed  : 11 июня 2014 г. 9:51:40
    
    GLOBAL SETTINGS: DFSR-GLOBALSETTINGS
      DN            : cn=dfsr-globalsettings,cn=system,dc=company,dc=com
      GUID          : 1EEC0F35-2D4F-4F5B-98A5-F063148A1A77
      USN Changed   : 8314
      When Created  : 14 марта 2013 г. 6:00:20
      When Changed  : 14 марта 2013 г. 20:05:52
    
      REPLICATION GROUP: DOMAIN SYSTEM VOLUME
        DN            : cn=domain system volume,cn=dfsr-globalsettings,cn=system,dc=company,dc=com
        GUID          : FFA349B4-C179-4EE1-9883-039BA528A8AB
        Type          : 1 (SYSVOL)
        USN Changed   : 8315
        When Created  : 14 марта 2013 г. 6:00:20
        When Changed  : 14 марта 2013 г. 20:05:52
    
        CONTENT: CONTENT
          DN            : cn=content,cn=domain system volume,cn=dfsr-globalsettings,cn=system,dc=company,dc=com
          GUID          : B347B70C-313D-4D2D-B50D-CB40FB88A4CF
          USN Changed   : 8316
          When Created  : 14 марта 2013 г. 6:00:20
          When Changed  : 14 марта 2013 г. 20:05:52
    
          CONTENT SET: SYSVOL SHARE
            DN            : cn=sysvol share,cn=content,cn=domain system volume,cn=dfsr-globalsettings,cn=system,dc=company,dc
    =com
            GUID          : 1778EEC0-A5DB-453C-80BC-A755DB7CF582
            File Filter   : ~*,*.TMP,*.BAK
            Compression Excl : (null)
            Dir Filter    : DO_NOT_REMOVE_NtFrs_PreInstall_Directory,NtFrs_PreExisting___See_EventLog
            USN Changed   : 8317
            When Created  : 14 марта 2013 г. 6:00:20
            When Changed  : 14 марта 2013 г. 20:05:52
    
        TOPOLOGY: TOPOLOGY
          DN            : cn=topology,cn=domain system volume,cn=dfsr-globalsettings,cn=system,dc=company,dc=com
          GUID          : 2B119341-9B26-40E6-BFC0-F4B2B7679224
          USN Changed   : 8318
          When Created  : 14 марта 2013 г. 6:00:20
          When Changed  : 14 марта 2013 г. 20:05:52
    
          MEMBER: DC2
            DN            : cn=dc2,cn=topology,cn=domain system volume,cn=dfsr-globalsettings,cn=system,dc=company,dc=com
            GUID          : A39F33D0-A750-4911-8DC8-2D0D9B9C1C21
            Server Ref    : cn=ntds settings,cn=dc2,cn=servers,cn=default-first-site-name,cn=sites,cn=configuration,dc=abmco
    m,dc=com
            Computer Ref  : cn=dc2,ou=domain controllers,dc=company,dc=com
            Keywords      : (null)
            Computer DNS  : dc2.company.com
            USN Changed   : 12349
            When Created  : 14 марта 2013 г. 20:07:40
            When Changed  : 14 марта 2013 г. 20:07:40
    
            CXTION: C27E876A-E850-4B9C-AD8D-C50C88BB18F5
              DN            : cn=c27e876a-e850-4b9c-ad8d-c50c88bb18f5,cn=ntds settings,cn=dc2,cn=servers,cn=default-first-si
    te-name,cn=sites,cn=configuration,dc=company,dc=com
              GUID          : 61E127BC-D913-4396-8B88-630D7BAF44F5
              Inbound       : tcome
              Partner DN    : (null)
              USN Changed   : 10428592
              When Created  : 14 марта 2013 г. 20:12:03
              When Changed  : 23 марта 2015 г. 7:11:15
    
            CXTION: 12960F45-523E-4B36-A5AC-81E445565B3D
              DN            : cn=12960f45-523e-4b36-a5ac-81e445565b3d,cn=ntds settings,cn=dc1,cn=servers,cn=default-first-si
    te-name,cn=sites,cn=configuration,dc=company,dc=com
              GUID          : 7D78840B-EC30-4E38-8AD1-869EE59FC9E7
              Inbound       : false
              Partner DN    : (null)
              USN Changed   : 10940957
              When Created  : 26 января 2015 г. 10:58:17
              When Changed  : 5 апреля 2015 г. 10:54:13
    
    Операция выполнена успешно

    6 апреля 2015 г. 7:15
  • Диагноз: для DC1 у вас полностью отсутсвуют объекты, описывающие для него репликацию DFS для SYSVOL, а dfsrmig, к тому же, интерпретирует ситуацию таким образом, что на нём для репликации SYSVOL используется FRS (при желании чисто из интереса можно проверить наличие для него объектов, описывающих репликацию FRS командой ntfrsutl ds).

    Что делать: считаю, что лучшим способом будет понижение DC1, а затем - повышение его обратно до контроллера домена. Роли FSMO с него перед понижением стоит передать вручную (через графические консоли или операцией transfer в ntdsutil). Кроме того, поскольку он PDC, то изменения политик производились на нём - поэтому рекомендую сравнить файлы в папке SYSVOL на нём и на остальных КД и скопировать с него более новые файлы на какой-нибудь другой КД этого же домена.

    Альтернативой могло было бы быть создание вручную объектов, описывающих DFS - но, думаю, это слишком сложно и чревато ошибками.


    Слава России!

    6 апреля 2015 г. 11:12
  • В первом сообщении я уже писал, что пробовал вариант с понижением и повышением обратно, ничего не поменялось почему-то, хотя в статье в которой это нашел, это и было решением. Объекты создать вручную не выйдет, везде в интернете пишут что все объекты только на чтение. Единственное что я смог создать руками это объект DC1 в CN=DFSR-GlobalSettings и он появился в группе репликации, но там ошибки с отсутствием папки и еще кучу всего, где это откопать я уже не знаю. 

    У меня на хосте с DC2 места мало, не могу снимок делать. Попробую сегодня еще раз все проделать. Но! Меня не отпускает вопрос, что такое могло произойти после чего все сломалось....

    6 апреля 2015 г. 12:04
  • Если повышение с понижением не помогает, то после понижения есть вариант вывести DC1 из домена и удалить все следы от него - как учетную запись в разделе домена, так и объект сервера из раздела конфигурации (Sites/имя_сайта в AD Sites and Services), ну и созданный вручную объект DC1 в DFSR-GlobalSettings тоже надо удалить. Естсественно, такое вариант возможен, только если на DC1 не стоит никаких ролей или приложений, достаточно тесно связанных с AD.

    Слава России!

    6 апреля 2015 г. 12:22